Do českého byznysu vstupuje 1. listopadu 2025 největší legislativní změna v oblasti kybernetické bezpečnosti za posledních deset let. Nový zákon rozšiřuje okruh dotčených firem a přenáší odpovědnost na management. Na co si dát pozor a jak se vyhnout sankcím?
Nová legislativa reaguje na dynamický vývoj v bezpečnostním prostředí související s nárůstem významu kybernetických hrozeb.
„Aktuálně platný zákon o kybernetické bezpečnosti vznikl před více než deseti lety, což je v kyberprostoru dlouhá doba,“ vysvětluje na úvod Martin Švéda, vedoucí oddělení regulace soukromého sektoru na Národním úřadu pro kybernetickou a informační bezpečnost (NÚKIB).
Nový zákon nepřináší revoluci v rozsahu povinností, které jsou organizacím ukládány – stejně jako současný zákon vyžaduje zavádět systematicky preventivní bezpečnostní opatření a hlásit úřadu nastalé kybernetické incidenty, stěžejní je nicméně rozsah regulace co do počtu subjektů a rozsahu jejich odpovědnosti.
Zatímco dosavadní zákon z roku 2014 reguloval zhruba 450 subjektů, nová úprava, která implementuje evropskou směrnici NIS2 s cílem sjednotit úroveň kyberbezpečnosti napříč Evropskou unií, rozšíří dohled minimálně na šest tisíc organizací z osmnácti odvětví.
Nově se pod regulaci dostane většina středních a velkých podniků, a to i ze segmentů, které doposud stály mimo zájem státu, jako je například výroba, potravinářství, odpadové hospodářství, vzdělávání či poštovní nebo kurýrní služby.
Zároveň se zvyšuje počet regulovaných služeb v už regulovaných odvětvích – například vodík v energetice, plošná regulace nemocnic a podobně.
Cílem regulace kybernetické bezpečnosti je dohlédnout na to, aby regulované organizace zaváděly preventivní bezpečnostní opatření a tím systematicky předcházely kybernetickým incidentům, které by mohly vést k nefunkčnosti služeb pro občany.
Nad rámec transpozice evropské směrnice NIS2 obsahuje nový zákon také dosud chybějící mechanismus prověřování bezpečnosti dodavatelského řetězce, což byl úkol pro NÚKIB od Bezpečnostní rady státu.
„Nová úprava zároveň reflektuje praktické zkušenosti z desetileté práce s aktuálně platným zákonem o kybernetické bezpečnosti. Došlo i k řadě zjednodušení a zpřehlednění, například máme jen jeden název povinné osoby ve dvou režimech, což by mělo být pro adresáty přehlednější,“ upřesňuje Švéda.
Co firmy musejí splnit?
Aby firmy splnily nové požadavky zákona o kybernetické bezpečnosti, měly by nejprve zjistit, zda se na ně regulace vztahuje. Pokud ano, je nutné se zaregistrovat u Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB). Na ohlášení regulované služby mají šedesát dnů od účinnosti zákona, tedy do Nového roku.
Poté je třeba vyčkat na rozhodnutí o registraci ze strany NÚKIB a následně během třiceti dnů od rozhodnutí nahlásit kontaktní údaje.
Vše se bude dít z jednoho místa, a to z Portálu NÚKIB, kde firmy najdou i všechny aktuální informace, podpůrné materiály a návody. „Pokud někomu není něco jasné, může se s dotazy obrátit písemně na mail [email protected], kde mu naši odborníci odpovědí,“ radí Švéda.
Následně musejí firmy začít plnit nové povinnosti. „Základem je zavést řízení rizik, identifikovat a chránit klíčová aktiva a nastavit vnitřní politiky a procesy pro oblasti, jako je řízení přístupů, reakce na incidenty, školení zaměstnanců či zajištění kontinuity provozu,“ vypočítává Tomáš Ščerba, partner advokátní kanceláře DLA Piper a expert na technologické právo a kybernetickou bezpečnost.
Důležité je podle něj prověřit z pohledu kybernetické bezpečnosti také své dodavatele. Každý poskytovatel regulované služby bude povinen zajistit, aby i jeho dodavatelé dodržovali přiměřená bezpečnostní opatření a neohrožovali tak celkovou úroveň kyberbezpečnosti organizace.
Foto Towfiqu barbhuiya / Unsplash
„Firmy by měly do smluv s dodavateli výslovně zahrnout ustanovení o řízení rizik, ochraně informací, hlášení incidentů, kontrole bezpečnostních opatření nebo povinnosti umožnit audit ze strany objednatele,“ nabádá Ščerba.
U významných dodavatelů, kteří mají přímý vliv na provoz nebo data společnosti, se doporučuje doplnit i klauzule o odpovědnosti za škodu či povinnosti okamžité nápravy.
Zároveň si podle advokáta firmy budou muset dát velký pozor už při samotném výběru dodavatelů a posuzovat jejich spolehlivost, úroveň zabezpečení a schopnost plnit požadavky zákona o kybernetické bezpečnosti.
V praxi tak bude nutné nejen revidovat smlouvy a rámcové dohody, ale také zavést interní procesy pro hodnocení a pravidelnou kontrolu dodavatelů z pohledu kybernetické bezpečnosti.
Dalibor Kačmář, technologický ředitel Microsoftu, doplňuje, že kontrola dodavatelského řetězce patří mezi největší výzvy, s nimiž se firmy v současné době potýkají.
„Nejde o to, že by někdo chtěl vědomě používat rizikové technologie. Problém nastává ve chvíli, kdy firma vybuduje například telekomunikační infrastrukturu za miliardy korun a následně musí ze dne na den kvůli nově zjištěnému riziku používání dané technologie zastavit. To může být ekonomická sebevražda,“ varuje.
Michal Wojnar, ředitel pro oblast kybernetické bezpečnosti ve společnosti PwC, radí firmám nejdříve provést analýzu dopadu nového zákona a GAP analýzu pro odhalení rozdílů mezi současným stavem a legislativními požadavky.
„Podniky by měly připravit jasný plán nápravy s termíny a odpovědnostmi, jmenovat odpovědné osoby, proškolit vedení i zaměstnance a zavést základní procesy – řízení rizik, monitoring, reakce na incidenty a kontinuitu provozu,“ říká Wojnar. Před samotným auditem doporučuje interní preaudit, aby firmy znaly své slabiny.
Podle zkušeností PwC trvá implementace šest až dvanáct měsíců u firem se stávajícím systémem řízení bezpečnostních informací (ISMS).
„U podniků, které začínají prakticky od nuly, se může projekt protáhnout na rok a půl až dva roky. Střední společnosti obvykle investují dva až deset milionů korun, velké firmy desítky milionů, zejména v kritické infrastruktuře,“ uvádí Wojnar.
Průzkum PwC Digital Trust Insights 2026 ale paradoxně ukazuje, že téměř šedesát procent českých firem plánuje stejné nebo nižší rozpočty na kybernetickou bezpečnost, což je v rozporu s realitou implementace nového zákona.
Dva režimy a odpovědnost
Zákon zavádí dva režimy – nižších a vyšších povinností –, které se liší rozsahem technických a organizačních opatření. Nová úprava klade mnohem větší důraz na odpovědnost vedení společností. Kyberbezpečnost už nebude jen úkolem IT oddělení.
„Za kyberbezpečnost firmy nese hlavní odpovědnost její vedení, konkrétně statutární orgán. Ten musí zajistit, aby organizace měla jasně nastavené cíle a politiku v této oblasti, dostatečné zdroje na jejich naplnění a aby probíhal pravidelný dohled i vyhodnocování jejich plnění,“ upozorňuje Ščerba.
„Kybernetická bezpečnost byla historicky často vnímána jen jako nákladová či zbytná položka, které nebylo nutné věnovat větší pozornost. Avšak ve chvíli, kdy se zavádí osobní odpovědnost se všemi důsledky a konsekvencemi, stává se z ní přirozeně priorita pro management,“ doplňuje Kačmář.
U poskytovatelů v režimu vyšších povinností je navíc nutné ustanovit manažera kybernetické bezpečnosti, který má na starosti každodenní řízení této oblasti, od vyhodnocování rizik až po reakce na incidenty. I v takovém případě ale zůstává právní odpovědnost za dodržování zákona na vedení podniku.
„U subjektů v režimu nižších povinností sice manažer kyberbezpečnosti povinný není, ale vedení musí určit osobu zodpovědnou za bezpečnost a zajistit, že organizace plní alespoň základní požadavky, jako jsou pravidelná školení, přehled o rizicích či schválené vnitřní postupy,“ dodává partner advokátní kanceláře DLA Piper.
Kontroly a sankce
Kontrola bude probíhat podobně jako dosud, formou monitoringu a auditů, přičemž subjekty budou mít povinnost hlásit incidenty. Sankce se vztahují na nedostatečné zavedení bezpečnostních opatření nebo nehlášení incidentů, nikoli na samotný jejich vznik.
Švéda ujišťuje, že úřad chce při kontrole postupovat s rozumem: „Zákon zavádí princip přiměřenosti, což znamená, že firmy si samy vyhodnotí, která opatření jsou pro ně vzhledem k rizikům nezbytná. Navíc počítáme s ročním přechodným obdobím, aby měly čas se připravit,“ uklidňuje.
NÚKIB může uložit nápravná opatření s určenou lhůtou k nápravě, a pokud organizace nesplní povinnosti nebo je porušení závažné, například když se podnik kybernetickou bezpečností nebude zabývat vůbec, může mu být udělena pokuta i bez předchozí výzvy.
Za porušení povinností podle nového zákona hrozí poskytovatelům regulovaných služeb vysoké sankce. „Poskytovatelé spadající do režimu nižších povinností mohou dostat pokutu až 175 milionů korun nebo 1,4 procenta z celosvětového obratu, podle toho, která hodnota je vyšší. U poskytovatelů v režimu vyšších povinností může pokuta dosáhnout až 250 milionů korun nebo dvou procent obratu,“ upozorňuje Ščerba.
Kromě pokut lze uložit i další správní tresty, třeba pozastavení platnosti certifikace nebo dočasný zákaz výkonu funkce člena statutárního orgánu, a to nejméně na šest měsíců, dokud poskytovatelé regulovaných služeb neodstraní zjištěné nedostatky.
Výzvy a příležitosti
Největší výzvou bude podle Ščerby rozsah a tempo změn: tisíce nových povinných subjektů, včetně dodavatelů, budou muset sladit své procesy, smlouvy i technologie, a to v situaci, kdy na trhu stále není dostatek odborníků na kybernetickou bezpečnost.
Náročné bude také řízení dodavatelského řetězce, vedení důkazní dokumentace (auditní stopy) a schopnost managementu dlouhodobě řídit rizika, nikoli jen formálně plnit zákonné minimum. „Stát bude muset zároveň posílit své kapacity pro dohled, metodickou podporu a zajistit jednotný výklad povinností napříč sektory,“ zamýšlí se Ščerba.
Všichni experti se shodují, že nový zákon je nejen regulační výzvou, ale i příležitostí. Firmy, které kyberbezpečnost pojmou strategicky, získají konkurenční výhodu a větší důvěru zákazníků.
Podle NÚKIB i PwC může přechod na systémové řízení bezpečnosti přinést větší profesionalizaci trhu a vznik nových specializovaných služeb a startupů.
Současně ale platí, že kybernetický incident dnes často znamená víc než jen technický problém. „Jeden incident může být zároveň porušením zákona o kyberbezpečnosti, GDPR nebo DORA. To otevírá otázku, zda lze za jeden skutek uložit více pokut,“ přemítá Ščerba.
Téma je to sporné a vyřeší ho až praxe, realisticky ale půjde o častý scénář. „I proto je vhodné už při tvorbě nových vnitřních předpisů počítat s mnohočetností regulací a nastavit jednotné workflow pro oznamování, dokazování i nápravná opatření tak, aby současně vyhovovalo všem dotčeným rámcům,“ radí Ščerba.
Jednou z největších překážek hladké implementace je nedostatek odborníků. „Firmy často nemají obsazené klíčové role, proto sahají po outsourcingu a řízených službách nebo monitoringu rizik. Podle našich dat téměř polovina společností řeší nedostatek specialistů automatizací, konsolidací a službami typu security as a service,“ konstatuje Wojnar.
To podle něj povede k výraznému růstu poptávky po konzultačních a řízených bezpečnostních službách, auditech a školeních. „Zároveň se otevře prostor pro nové produkty a startupy, které nabídnou nástroje pro automatizaci kyberbezpečnosti, řízení rizik – například PwC Managed Cyber Risk a bezpečnostní monitoring,“ míní expert.
Martin Švéda z NÚKIB zdůrazňuje, že kybernetickou bezpečnost nelze jednoduše „koupit na klíč“, ale je to proces, který musí být pevně zakořeněn v celé organizaci.
„Je to odpovědnost napříč institucemi, ne produkt, který si lze pořídit. Proto jsme skeptičtí k přístupu, kdy se instituce spoléhají výhradně na externí dodavatele nebo konzultační firmy – riziko, že naletí takzvaným ‚obchodníkům s teplou vodou‘, je stále velmi reálné,“ myslí si Švéda.
Nový zákon o kybernetické bezpečnosti tak symbolicky představuje digitální zkoušku dospělosti českého byznysu. A i když přináší administrativní i finanční zátěž, experti se shodují, že dlouhodobě povede ke zdravějšímu a odolnějšímu podnikatelskému prostředí.
„Kyberbezpečnost přestává být volitelným tématem,“ uzavírá Dalibor Kačmář. „Je to nový standard, bez kterého nebude možné dělat byznys v digitálním světě.“
The post Co přinese nový kyberbezpečnostní zákon? Firmy čeká digitální zkouška dospělosti appeared first on Forbes.
